スライド 1

Size: px

Start display at page:

Download "スライド 1"

めぐのにかどり
7 years ago
Views:

1 FFRI Dataset 2014 のご紹介株式会社 FFRI Ver

2 Agenda FFRI Dataset 2014 概要 Cuckoo Sandbox 具体的なデータ項目 FFR yarai analyzer Professional 具体的なデータ項目データの利用例 2

3 FFRI Dataset 2014 の概要 FFRIで収集したマルウェアの動的解析ログ 2014/1~2014/4に収集された検体 PE 形式かつ実行可能なもの 3000 検体分 Cuckoo および FFR yarai analyzer Professional のログ +FFRI Dataset 2013 Cuckoo ログファイル約 2600 検体分 ( 計 1.7GB) Cuckoo Sandbox FFR yarai analyzer Professional FFRI 保有検体動的解析解析ログ 3

4 Cuckoo Sandbox - オープンソース ( 一部非公開 ) のマルウェア解析システム仮想環境内でマルウェアを実行実行時のふるまいをモニタリング VirusTotal 連携 yara 連携等社内のマルウェア解析用ネットワークにシステムを設置実行 1 検体 ( 解析対象 ) 1 ログファイルログファイルは json 形式 4

5 5 具体的なデータ項目項目 ( 大見出し ) 内容 info 解析の開始終了時刻 id 等 (id は 1 から順に採番 ) yara yara(oss のマルウェア検知分類エンジン ) の標準ルールとの照合結果 - signatures ユーザー定義シグニチャとの照合結果 ( 今回は使用無 ) virustotal VirusTotal の検査履歴との照合結果 ( 検体の MD5 値に基づく ) static 検体のファイル情報 ( インポート API セクション構造等 ) dropped 検体が実行時に生成したファイル behavior 検体実行時の API ログ (PID TID API 名引数返り値等 ) processtree 検体実行時のプロセスツリー ( 親子関係 ) summary 検体が実行時にアクセスしたファイルレジストリ等の概要情報 target 解析対象検体のファイル情報 ( ハッシュ値等 ) debug strings network 検体解析時の Cuckoo Sandbox のデバッグログ検体中に含まれる文字列情報検体が実行時に行った通信の概要情報

6 6 具体的なデータ項目 (info) "info": "category": "file", "started": " :59:26", "ended": " :00:57", "version": "0.5", "duration": "90 seconds", "id": 1

7 7 具体的なデータ項目 (yara) "yara": [ "meta": "description": "Matched shellcode byte patterns", "author": "nex" "name": "shellcode", "strings": [ " 8B EC 81 EC }", " 8B EC E9 }" ] } ],

8 8 具体的なデータ項目 (virustotal) "scans": "MicroWorld-eScan": "detected": true, "version": " ", "result": "Gen:Variant.Symmi.13832", "update": " " "nprotect": "detected": false, "version": " ", "result": null, "update": " "

9 9 具体的なデータ項目 (static) "static": "pe_imports": [ "imports": [ "name": "CoCreateInstance", "address": "0x1000a280" } ], "dll": "ole32.dll"

10 10 具体的なデータ項目 (static) "pe_sections": [ "size_of_data": "0x8a00", "virtual_address": "0x1000", "entropy": , "name": ".text", "virtual_size": "0x89b3"

11 11 具体的なデータ項目 (dropped) "dropped": [ "size": , "sha1": " b756bacc31f798c96fc430d3fdd974cfb", "name": "shdocvw.dll", "type": "PE32 executable (DLL) (GUI) Intel 80386, for "crc32": "E511A8A9", "ssdeep": null, "sha256": "d0ad6ed837de4968f3bf93c f02a88 "sha512": "393bd0f4d64b5ee927ea3ef7bfca639097c8 "md5": "796eb88d9546ac489b7fec e0f"

12 12 具体的なデータ項目 (behavior) "category": "system", "status": "SUCCESS", "return": "0x ", "timestamp": " :05:08,885", "thread_id": "1384", "repeated": 0, "api": "NtClose", "arguments": [ "name": "Handle", "value": "0x000000b0" } ]

13 13 具体的なデータ項目 (processtree) "processtree": [ "pid": 1436, "name": "CD51605CE8F0CA9A6B536CFAD85CDF3B.bin", "children": [ "pid": 1296, "name": "rundll32.exe", "children": [] } ] } ],

14 14 具体的なデータ項目 (summary) "summary": "files": [ "c: autoexec.bat", "C: Documents and Settings", "C: Documents and Settings cuckoo1 Local Settings", "C: Documents and Settings cuckoo1 Application Data btacp.dll", "C: Documents and Settings cuckoo1 Application Data btacp.dll.123.manifest", "C: WINDOWS system32 msctfime.ime", "C: WINDOWS Registration R clb", "C: WINDOWS system32 shdocvw.dll", "C: WINDOWS system32 stdole2.tlb" ], "keys": [ "HKEY_LOCAL_MACHINE Software Microsoft Rpc PagedBuffers",

15 15 具体的なデータ項目 (target) "target": "category": "file", "file": "size": , "sha1": "387ed6c3690aff95dbeff449c91a3dd9323a530a", "name": "CD51605CE8F0CA9A6B536CFAD85CDF3B.bin", "type": "PE32 executable (GUI) Intel 80386, for MS Windows", "crc32": "FE038869", "ssdeep": null, "sha256": "21f421c07dd47fc45a7e908abf3e2d9c687ba194af32a "sha512": "8053b0d68154b2bd4681abc b480b197030ac "md5": "cd51605ce8f0ca9a6b536cfad85cdf3b" }

16 16 具体的なデータ項目 (strings) "strings": [ "!This program cannot be run in DOS mode.", "`.rdata", "@.data", "t@jt0jt u001fjt", "t)9>t%g", "Ht5Ht'HHt",

17 17 具体的なデータ項目 (network) "network": "udp": [ "dport": 53, "src": " ", "dst": " ", "sport": 1054 "http": [ "body": "", "uri": " "user-agent": "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)", "method": "GET", "host": xxxxxxxxxxxxxxxxxxxxxxxxxxxx", "version": "1.1",

18 FFR yarai analyzer Professional FFRIの製品仮想環境内でマルウェアを実行実行時のふるまいをモニタリングプロセス毎のAPI 呼び出し履歴を取得可能解析対策機能を持つマルウェアを解析可能社内のマルウェア解析用ネットワークにシステムを設置実行 1 検体 ( 解析対象 ) 複数ログファイルログファイルは json 形式 18

19 19 具体的なデータ項目項目 ( 大見出し ) 内容 analyzed_info filetrace regtrace network ファイルハッシュ (SHA1) ファイル名ファイルサイズ検体実行時のファイルアクセスイベント情報検体実行時のレジストリアクセスイベント情報検体実行時のネットワークアクセスイベント情報 api_logs プロセス毎の API ログ (PID TID API 名引数返り値等 )

20 20 具体的なデータ項目 (analyzed_info) "files": [ "analyze_name":" _16.bin", "hash":"00f90de58d285d11c24bd184688e61c5bed7a117", "path":"c: YaraiAnalyzerPro Scan 00F90DE58D285D11C24B D184688E61C5BED7A117.bin", "size":" }], " is_timeout":true

21 21 具体的なデータ項目 (filetrace) "action": 4, "file_path": "C: ProgramData Microsoft RAC PublishedData RacWmiDatabase.sdf", "file_type": , "irp_flag": 0, "mode": 0, "new_file_path": "", "pid": 556, "process_path": "C: Windows System32 taskhost.exe", "time": "17:54:03:171

22 具体的なデータ項目 (regtrace) "data": " ", "data_length": 8, "data_type": 4, "is_new_entry": false, "key": " REGISTRY MACHINE SOFTWARE Microsoft SQMClient Windows", "name": "WSqmConsLastRunTime", "old_data": " ", "old_data_length": 8, "old_type": 11, "ope_type": 8, "process_id": 1464, "process_path": " Device HarddiskVolume1 Windows System32 wsqmcons.exe", "record_type": 0, "thread_id": 1712, "type": 11 22

23 23 具体的なデータ項目 (network) "PID": 2408, "data1": xxx.xxx ", "data2": "80", "program": " _16.bin", "protocol": "TCP_CONNECT", "time": " :53:12

24 24 具体的なデータ項目 (api_logs) "PID": 2408, "TID": 2412, "api": "RegOpenKeyExW", "args": [ "data": , "name": "Registry@1", "type": "HANDLE ], "category": "Registry", "lasterr": 0, "retaddr": , "retval": 0, "time1": "2014/04/21", "time2": "11:53:06.296

25 データの利用例マルウェア検知分類ヒューリスティック検知傾向分析クラスタリングベンチマーク自身の自動解析システムとの比較有効性検証 25

スライド 1

スライド 1 FFRI Dataset 2016 のご紹介株式会社 FFRI http://www.ffri.jp Ver 2.00.01 1 Agenda FFRI Dataset 2016 概要 Cuckoo Sandbox 具体的なデータ項目データの利用例 2 FFRI Dataset 2016 の概要 FFRIで収集したマルウェアの動的解析ログ 2016/1~2016/3に収集された検体計 8,243